noticias

NIS2: pasos a seguir por las empresas para cumplir con la directiva



Dirección copiada

Los nueve pasos que las compañías deben abordar para cumplir con NIS2: desde el análisis de riesgos a la formación del personal o el cifrado de datos

Publicado el 24 sept 2024



NIS2 Europa

La directiva NIS2 busca reducir los riesgos cibernéticos y para ello es esencial que tanto el personal de seguridad de la información como los directivos participen activamente en su implantación. Y en octubre dará un salto adelante, pues deberá estar traspuesta a las legislaciones nacionales de la UE. Check Point destaca en nueve pasos cómo cumplir con estos requisitos y asegurar la integridad de las infraestructuras informáticas:

Análisis de riesgos y conceptos de seguridad

El primer paso es realizar un inventario exhaustivo de la infraestructura de TI, identificando bienes, medidas de seguridad actuales y posibles vulnerabilidades. Se recomienda contratar consultores especializados para realizar un análisis de carencias y riesgos conforme a la norma ISO 27001 y desarrollar un plan integral de seguridad.

Gestión de incidentes de seguridad

Es crucial contar con un equipo que monitorice y responda a incidentes de seguridad. Las pruebas de penetración deben ser regulares para evaluar la preparación ante ataques. Se sugiere la contratación de Servicios de Seguridad Gestionados (MSS) desde un Centro de Operaciones de Seguridad (SOC) de alta seguridad. La ciberseguridad ya no es sólo el terreno de juego de los CIO o CISO. La junta directiva y el resto del equipo ejecutivo necesitan poder confiar en que su estructura de ciberseguridad es lo suficientemente resistente frente a los tipos de ciberataques que se dirigen contra ellos.

Mantenimiento de operaciones

Para minimizar el impacto de un ataque, las empresas deben encargar a expertos en seguridad TI que prueben y analicen su preparación en caso de crisis. En caso de que ataque tenga éxito, la infraestructura informática debe restablecerse lo antes posible. Esto se consigue mediante la gestión de copias de seguridad, la recuperación de desastres y la gestión de crisis. Además, la implementación de una arquitectura de Zero Trust puede ayudar a minimizar los daños.

Seguridad de la cadena de suministro

Con NIS2, las empresas también deben proteger de forma exhaustiva sus cadenas de suministro, tanto físicas como digitales, contra posibles atacantes. Esto significa que todas las cadenas de suministro que entran y salen de la empresa o instalación deben ser examinadas en busca de posibles vulnerabilidades y las áreas pertinentes deben ser aseguradas adicionalmente.

Seguridad en la adquisición, desarrollo y mantenimiento sistemas

Es fundamental asegurar los puntos de acceso a la infraestructura informática. También debe garantizarse que personas ajenas no puedan acceder sin autorización a las comunicaciones, añadir datos o sustraerlos. Utilizar firewalls de nueva generación para controlar el acceso al servidor, asegurar que las API utilizadas estén autenticadas, autorizadas y cifradas para evitar fugas de datos e instalar un sistema de Gestión de Identidades y Accesos (IAM) y Zero Trust cuando se trate de derechos de acceso.

Evaluación de la eficacia de las medidas

Existen diversas herramientas y plataformas de seguridad con capacidades de automatización como ML y AI que ayudan a proteger las redes y los sistemas. También es importante contratar a expertos en seguridad para seleccionar, implantar y mantener los sistemas necesarios para que NIS2 garantice una información continua y establecer sistemas de supervisión para detectar y responder a actividades inusuales en tiempo real.

Formación para el personal

Las medidas básicas de ciberhigiene y la contratación de expertos para que impartan formación y educación periódicas en seguridad informática a los equipos TI, contribuyen a que estén preparados para una emergencia y pueda tomar medidas preventivas con antelación.

Cifrado de datos

Es clave para proteger los datos almacenados, procesados y transmitidos. Las empresas deben implementar políticas de cifrado robustas y actualizar constantemente sus métodos para estar preparados ante nuevas amenazas.

Control de acceso y seguridad de activos

Las directrices de control de acceso y la gestión de activos deben protegerse adicionalmente. Al fin y al cabo, constituyen la base de una gestión eficaz de identidades y accesos. Las empresas deben encargar a expertos en seguridad de la información que aseguren los datos de identidad necesarios para que funcione un sistema de gestión de identidades y accesos (IAM).

    “La transición de la ciberseguridad a NIS2 sólo puede tener éxito si la dirección y el personal de seguridad de la información trabajan juntos y reman en la misma dirección. No se trata de un proyecto sencillo, ni de una tarea de unas pocas semanas o meses. NIS2 es una tarea continua y a largo plazo. A partir de 2028, las empresas tendrán que demostrar cada año la conformidad con NIS2 de su infraestructura informática”, concluye Mario García, director general de Check Point Software para España y Portugal.

    Artículos relacionados

    Artículo 1 de 4